miércoles, 1 de febrero de 2017

¿Aprendemos tras un fallo de seguridad?

Tras un fallo de seguridad,  una víctima puede optar por preocuparse por su seguridad o por seguir igual pensando que eso sólo pasa una vez en la vida. Al menos, esto es lo que pensaba yo, pero hace unos días descubrí que pueden establecerse preferencias, es decir, un usuario puede preferir que un atacante le robe una cuenta antes que otra. Es como si un padre prefiriese que le secuestren a un hijo antes que a otro. Por sorprendente que parezca, hay muchos usuarios así con esa mentalidad.


Estaba buscando nuevas dorks para encontrar usuarios y contraseñas y guardar tal dork en una base de datos que he creado con todas las dorks que he usado y que he descubierto para así poder completar unas ecuaciones. Iba encontrando algunas, en concreto, en la que muestro en la captura siguiente fue la que más rato me hizo pensar sobre lo que encontré.


Me llamaron la atención la segunda y tercera entrada, que son las que hacen referencia a una cuenta de Google y a una de Yahoo, dos de las cuentas más hackeadas. Así que antes que probar esas contraseñas en cada red social, quise ver si, tras este fallo de seguridad por fuga de información, decidieron protegerse implementando un 2FA.


El usuario con la cuenta de Gmail, decidió por seguir igual y ponerle más facilidades a un posible atacante, pues no ha implementado un 2FA en su cuenta de Facebook.


Decidí probar en Twitter y ya se puede sumar otra pequeña vulnerabilidad, que no es otra que la de reutilizar el mismo correo para más de una cuenta de Internet, lo que nos hace pensar que esto puede ocurrir con más cuentas a parte de estas dos. Solamente tendríamos que ir probando. Un trabajo no muy duro.


Quise probar con el usuario de la cuenta de Yahoo, pues como ya sabréis, hace no mucho, se dio a conocer una gran cantidad de cuentas de Yahoo que habían sido publicadas en Internet de forma pública. En este caso, este usuario ha optado por usar dos correos distintos y dos números de teléfono distintos a los que hacer que le envíen un código o enlace para recuperar su cuenta ¡Eso sí que es cambiar su forma de pensar y preocuparse algo más por la seguridad!


No obstante, si hacíamos lo mismo en Twitter, la cosa era ben distinta, pues utilizaba como única forma de recuperar su cuenta, mediante un enlace a la dirección de correo que ya conocemos. En vistas a que ha reutilizado el mismo correo para dos cuentas ¿Por qué no pensar igual de la contraseña? Este es el claro ejemplo de cómo hay usuarios que se preocupan antes por unas cuentas que por otras, algo que es bastante ilógico.

¿Hackeamos el Mundo?

P.D: Si no recuerdo mal, solamente os he dejado 3 artículos que he publicado este 2017, pero terminé la semana pasada otro del que no os he podido avisar. Ese artículo hace que en tan sólo un mes de 2017, ya haya igualado los artículos publicados en 2016.

P.D. P.D: Estos son los árboles que he ayudado a plantar.


No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...